信息权限管理 (IRM) 有助于防止未经授权的人员打印、转发或复制敏感信息。 权限存储在文档中,其中由 IRM 服务器进行身份验证。
使用 Microsoft 365 中的 IRM,可以权限管理 XML 纸张规范 (.xps) 文件和以下 Word 文件类型:
-
文档 .doc、.docx
-
已启用宏的文档 .docm
-
模板 .dot、.dotx
-
已启用宏的模板 .dotm
配置计算机以使用 IRM
要在 Microsoft 365 中使用 IRM,所需的最低软件版本为 Windows Rights Management Services (RMS) Client Service Pack 1 (SP1)。 RMS 管理员可配置公司特定的 IRM 策略,进而确定可访问信息的人员以及允许的电子邮件编辑级别。
例如,公司管理员可定义名为“公司机密”的权限模板,它可指定使用该策略的电子邮件只能由公司域内的用户打开。
下载权限
首次尝试使用受限权限打开文档时,必须连接到许可服务器以验证凭据并下载使用许可证。 使用许可证定义你对某个文件的访问级别。 具有受限权限的每个文件均需要此过程。
下载权限时,要求 Microsoft 365 将你的凭据(包括电子邮件地址)和权限相关信息发送到授权服务器。 文档中包含的信息不会发送到许可服务器。
限制对文件内容的权限
IRM 允许对每个用户、每个文件或每个组应用限制, (基于组的权限需要 Active Directory) 。
例如,在 Ranjit 创建的文档中,他可能授予 Adele 读取权限,但不能更改它。并授予 Alex 编辑文档的权限。 兰吉特可能还决定对阿黛尔和亚历克斯对文档的访问量应用五天限制。
-
保存文档。
-
选择“文件”选项卡。
-
选择 “信息”,选择“ 保护文档”,指向 “按人员限制权限”,然后选择“ 受限访问”。
-
在“ 权限 ”对话框中,选择“ 限制对此文档的权限”,然后为每个用户分配所需的访问级别。
注意: 如果管理员设置了个人无法更改的自定义权限策略,则你的选择可能会受到限制。
权限级别
-
读取 具有“读取”权限的用户可以读取文档,但他们无权编辑、打印或复制文档。
-
更改 具有“更改”权限的用户可以读取、编辑和保存对文档所做的更改,但他们无权打印文档。
-
完全控制 具有“完全控制”权限的用户拥有完全的创作权限,并且可以对文档执行作者可以执行的任何操作,包括设置内容的到期日期、阻止打印以及向用户授予权限。
授权用户对文档的权限过期后,只有作者或对文档具有完全控制权限的用户才能打开文档。 作者始终拥有“完全控制”权限。
-
若要授予某人完全控制权限,请在“权限”对话框中选择“更多选项”,然后在“访问级别”列中选择箭头,然后在“访问级别”列表中选择“完全控制”。
-
分配权限级别后,选择“ 确定”。
此时会显示消息栏,指示文档由权限管理。 如果必须对文档进行任何访问权限更改,请选择“ 更改权限”。
如果将具有受限权限的文档转发给未经授权的人员,则会显示一条消息,其中包含作者的电子邮件地址或网站地址,以便未经授权的人员可以请求对文档的权限。
如果作者选择不包含电子邮件地址,则未经授权的用户只会收到一条消息,告知他们无法访问该文件。
设置文件的到期日期
-
打开文件。
-
转到 “文件”。
-
在“ 信息 ”选项卡上,选择“ 保护文档”,指向 “按人员限制权限”,然后选择“ 受限访问”。
-
在“ 权限 ”对话框中,选中“ 限制对此文档的权限 ”复选框,然后选择“ 更多选项”。
-
在 “用户的其他权限”下,选中“ 此文档过期时间 ”复选框,然后输入日期。
-
选择 “确定” 两次。
使用其他 Windows 用户帐户对文件进行权限管理
-
打开文档、工作表或演示文稿。
-
选择“文件”选项卡。
-
在“ 信息 ”选项卡上,选择“ 保护文档”,指向 “按人员限制权限”,然后选择“ 管理凭据”。
-
执行下列操作之一:
-
在 “选择用户 ”对话框中,选择要使用的帐户的电子邮件地址,然后选择“ 确定”。
-
在 “选择用户 ”对话框中,选择“ 添加”,键入新帐户的凭据,然后选择 “确定” 两次。
-
查看具有受限权限的内容
若要使用 Microsoft 365 查看有权访问的权限管理内容,只需打开文档即可。
如果要查看拥有的权限,请在消息栏中选择“ 查看权限 ”,或选择“ 此文档包含权限策略” 。
Office for Mac 中的 IRM 提供三个权限级别。
-
读取 读取
-
更改 读取、编辑、拷贝、保存更改
-
完全控制 读取、编辑、拷贝、保存更改、打印、设置内容的过期日期、为用户授予权限、以编程方式访问内容
请执行以下任一操作:
手动设置权限级别
-
在“ 审阅 ”选项卡上的“ 保护”下,选择“ 权限”,然后选择“ 受限访问”。
-
如果这是你首次访问授权服务器,请输入授权服务器的用户名和密码,然后选中“在 Mac OS keychain 中保存密码”复选框。
注意: 如果未选择“ 在 Mac OS 密钥链中保存密码”,则可能必须多次输入用户名和密码。
-
在“读取”、“更改”或“完全控制”框中,输入要为其授予访问级别的用户或用户组的电子邮件地址或名称。
-
如果要在通讯簿中搜索电子邮件地址或姓名,请选择“ ”。
-
如果要为通讯簿中的所有人员分配访问级别,请选择“ 添加所有人 ”。
-
分配权限级别后,选择“ 确定”。
消息栏随即出现,并显示一条消息,说明文档受权限管理。
使用模板来限制权限
管理员可以配置公司特定的 IRM 策略,用于定义谁可以访问用户的信息权限级别。 权限管理的这些属性通过使用 Active Directory 权限管理服务 (AD RMS) 服务器模板定义。 例如,公司管理员可以定义一个名称为“公司机密”的权限模板,该模板指定只有公司域内的用户可以打开使用该策略的文档。
-
在“ 审阅 ”选项卡上的“ 保护”下,选择“ 权限”,然后选择所需的权限模板。
更改或删除您设置的权限级别
如果您应用了模板来限制权限,则不能更改或删除权限级别;仅当您的权限级别是手动设置时,下面的步骤才有效。
-
在消息栏上,选择“ 更改权限”。
-
在“读取”、“更改”和“完全控制”框中,输入要为其授予访问级别的用户或用户组的新电子邮件地址或名称。
-
若要从访问级别中删除个人或组,请选择电子邮件地址,然后按 DELETE 。
-
若要从权限级别中删除 “每个人 ”,请选择“ 添加所有人”。
设置受限文件的过期日期
作者可以使用“设置权限”对话框为内容设置过期日期。
-
在“ 审阅 ”选项卡上的“ 保护”下,选择“ 权限”,然后选择“ 受限访问”。
-
选择“ 更多选项”,然后选择“ 此文档过期日期”,然后输入 日期。
授权用户对某个文档的权限过期之后,只有作者或具有“完全控制”权限的用户才可以打开该文档。
允许拥有更改或读取权限的用户打印内容
默认情况下,拥有更改和读取权限的用户不能打印。
-
在“ 审阅 ”选项卡上的“ 保护”下,选择“ 权限”,然后选择“ 受限访问”。
-
选择“ 更多选项”,然后选择“ 允许具有更改或读取权限的人员打印内容”。
允许拥有读取权限的用户拷贝内容
默认情况下,拥有读取权限的用户不能拷贝内容。
-
在“ 审阅 ”选项卡上的“ 保护”下,选择“ 权限”,然后选择“ 受限访问”。
-
选择“ 更多选项”,然后选择“ 允许具有读取权限的人员复制内容”。
允许受限文件中运行脚本
作者可以将设置更改为允许打开文档时运行 Visual Basic 宏,以及允许 AppleScript 脚本访问受限文档中的信息。
-
在“ 审阅 ”选项卡上的“ 保护”下,选择“ 权限”,然后选择“ 受限访问”。
-
选择“ 更多选项”,然后选择“ 以编程方式访问内容”。
需要连接以验证权限
默认情况下,用户首次打开受限文档时,必须通过连接到 AD RMS 服务器进行身份验证。 但是,您可以更改此设置,要求他们每次打开受限文档都需要进行身份验证。
-
在“ 审阅 ”选项卡上的“ 保护”下,选择“ 权限”,然后选择“ 受限访问”。
-
选择“ 更多选项”,然后选择“ 需要连接以验证权限 ”。
删除限制
-
在“ 审阅 ”选项卡上的“ 保护”下,选择“ 权限”,然后选择“ 无限制”。
-
在对话框中,选择 “删除限制”。
相关主题
在 iOS 版本的 Microsoft 365 中,对于收到的任何受 IRM 保护的文件,只要使用有权访问该文件的帐户登录即可打开它。 打开受 IRM 保护的文件时,顶部会显示一个信息栏,你可以查看已向此文件分配的权限。
如果你是使用 Azure Rights Management 的 Microsoft 365 订阅服务器,并且 IT 部门定义了一些 IRM 模板供你使用,则可以将这些模板分配给 iOS 上的 Office 中的文件。
若要保护文件,请点击应用中 编辑按钮,转到“ 审阅 ”选项卡,然后点击“ 限制权限” 按钮。 你将看到可用 IRM 策略列表;选择所需的一项,然后点击“完成”即可应用。
注意: 如果应用中未启用“限制权限”按钮,请打开任何受 IRM 保护的现有文档,然后对其进行初始化。
在 android 版本的 Microsoft 365 中,如果使用对文件具有权限的帐户登录,则会打开收到的任何受 IRM 保护的文件。 打开受 IRM 保护的文件时,顶部将显示一个信息栏,允许你查看已向此文件分配的权限。
信息权限管理 (IRM) 有助于实现下列目标:
-
防止未经授权的收件人转发、复制、更改、打印、传真受限内容,或将此类内容粘贴进行未授权的使用
-
限制内容到处传播
-
提供文件过期功能,以便指定时间后不能再查看文档中的内容
-
在公司内部强制实施管理内容的使用和分发的公司政策
IRM 不能阻止受限内容被:
-
通过特洛伊木马、键击记录程序和某些类型的间谍软件等恶意程序擦除、盗取、捕获或传送
-
因计算机病毒操作而导致丢失或损坏
-
通过查看收件人屏幕显示手抄或重新键入
-
收件人以数字方式拍摄(显示在屏幕上时)
-
使用第三方屏幕捕获程序复制