本文介绍用户、管理员或配置的服务选择Microsoft Purview 信息保护中的敏感度标签时,可以配置为自动应用的使用权限。
配置敏感度标签或权限管理模板进行加密时,会选择使用权限。 例如,可以选择配置使用权限逻辑分组的角色,或单独配置单个权限。 或者,用户可以自行选择并应用使用权限。
重要
使用本文了解应用程序如何解释使用权限。
应用程序在实现使用权限的方式上可能会有所不同,建议在生产环境中部署之前,查阅应用程序的文档并执行自己的测试,以检查应用程序行为。
使用权限和说明
下表列出了 Rights Management 支持的使用权限,以及如何使用和解释这些权限。 它们按 其公用名列出,这通常是显示或引用的使用权限的方式,作为代码中使用的更友好的单字值版本, (编码策略 值) 。
在此表中:
API 常量或值是 MSIPC 或 Microsoft 信息保护 SDK API 调用的 SDK 名称,在编写用于检查使用权限的应用程序或向策略添加使用权限时使用。
AD RMS 模板 中的名称包含在 本地权限管理解决方案 Active Rights Rights Management Services 上或从中迁移的客户。
| 使用权限 | 说明 | 实现 |
|---|---|---|
| 公用名称: 编辑内容、编辑 策略中的编码: DOCEDIT |
允许用户修改、重新排列、格式化或对应用程序内的内容进行排序,其中包括Office web 版。 它不授予保存已编辑副本的权限。 | Office 自定义权限:作为 “更改 ”和“ 完全控制” 选项的一部分。 Microsoft Purview 门户中的名称: 编辑内容、编辑 (DOCEDIT) AD RMS 模板中的名称: 编辑 API 常量或值: MSIPC: 不適用。 MIP SDK: DOCEDIT |
| 公用名: 保存 策略中的编码: EDIT |
允许用户将项保存到当前位置。 在 Office web 版 中,它还允许用户编辑内容。 在 Office 应用程序中,如果所选文件格式具有对 Rights Management 的内置支持,则此权限允许用户将文件的内容保存到新位置,并使用新名称。 可用的文件格式列表仅限于支持 Rights Management 的文件格式。 此限制可确保无法从文件中删除原始加密。 |
Office 自定义权限:作为 “更改 ”和“ 完全控制” 选项的一部分。 Microsoft Purview 门户中的名称: 保存 (EDIT) AD RMS 模板中的名称: 保存 API 常量或值: MSIPC: IPC_GENERIC_WRITE L"EDIT"MIP SDK: EDIT |
| 公用名: 注释 策略中的编码: COMMENT |
启用向内容添加批注或注释的选项。 此权限在 SDK 中可用,在 PurviewInformationProtection PowerShell 模块中作为即席策略提供,并且已在某些软件供应商应用程序中实现。 但是,它并未广泛使用,并且不受 Office 应用程序支持。 |
Office 自定义权限:未实现。 Microsoft Purview 门户中的名称:未实现。 AD RMS 模板中的名称:未实现。 API 常量或值: MSIPC: IPC_GENERIC_COMMENT L"COMMENTMIP SDK: COMMENT |
| 公用名: 另存为、导出 策略中的编码: EXPORT |
启用选项以将内容保存到其他文件名 (另存为) 。 此权限还允许用户在应用程序中执行其他导出选项,例如 “发送到 OneNote”。 |
Office 自定义权限:作为 “完全控制” 选项的一部分。 Microsoft Purview 门户中的名称: 另存为、导出 (EXPORT) AD RMS 模板中的名称: 导出 (另存为) API 常量或值: MSIPC: IPC_GENERIC_EXPORT L"EXPORT"MIP SDK: EXPORT |
| 公用名: 转发 策略中的编码: FORWARD |
启用转发电子邮件以及将收件人添加到“ 收件人 ”和“ 抄送 ”行的选项。 此权利不适用于文档:仅电子邮件。 不允许转发器将权限授予其他用户作为转发作的一部分。 授予此权限时,还要授予 编辑内容、 编辑权限 (公用名) ,并授予“ 保存 ”权限 (公用名) ,以确保加密的电子邮件不会作为附件传递。 此外,在向使用 Outlook 客户端或 Outlook Web 应用的其他组织发送电子邮件时指定这些权限。 或者,对于组织中因已实现 载入控制而免除使用 Rights Management 加密的用户。 |
Office 自定义权限:使用 “请勿转发 ”标准策略时被拒绝。 Microsoft Purview 门户中的名称: 转发 (FORWARD) AD RMS 模板中的名称: 转发 API 常量或值: MSIPC: IPC_EMAIL_FORWARD L"FORWARD"MIP SDK: FORWARD |
| 公用名: 完全控制 策略中的编码: OWNER |
授予对项的所有权限,并可以执行所有可用作。 包括删除加密和重新加密文档的功能。 请注意,此使用权限与 Rights Management 所有者不同。 | Office 自定义权限:作为 “完全控制” 自定义选项。 Microsoft Purview 门户中的名称: 完全控制 (所有者) AD RMS 模板中的名称: 完全控制 API 常量或值: MSIPC: IPC_GENERIC_ALL L"OWNER"MIP SDK: OWNER |
| 公用名: 打印 策略中的编码: PRINT |
启用用于打印内容的选项。 | Office 自定义权限:作为自定义权限中的 “打印内容” 选项。 不是按收件人设置。 Microsoft Purview 门户中的名称: 打印 (PRINT) AD RMS 模板中的名称: 打印 API 常量或值: MSIPC: IPC_GENERIC_PRINT L"PRINT"MIP SDK: PRINT |
| 公用名: 答复 策略中的编码: REPLY |
在电子邮件客户端中启用 “答复 ”选项,不允许更改 “收件人 ”或“ 抄送” 行。 授予此权限时,还要授予 编辑内容、 编辑权限 (公用名) ,并授予“ 保存 ”权限 (公用名) ,以确保加密的电子邮件不会作为附件传递。 此外,在向使用 Outlook 客户端或 Outlook Web 应用的其他组织发送电子邮件时指定这些权限。 或者,对于组织中因你实施了 载入控制而免除使用 Rights Management 保护的用户。 | Office 自定义权限:不适用。 AD RMS 模板中的名称: 回复 API 常量或值: MSIPC: IPC_EMAIL_REPLYMIP SDK: REPLY |
| 公用名: 全部答复 策略中的编码: REPLYALL |
在电子邮件客户端中启用 “全部答复 ”选项,但不允许用户将收件人添加到 “收件人 ”或“ 抄送” 行。 授予此权限时,还要授予 编辑内容、 编辑权限 (公用名) ,并授予“ 保存 ”权限 (公用名) ,以确保加密的电子邮件不会作为附件传递。 此外,在向使用 Outlook 客户端或 Outlook Web 应用的其他组织发送电子邮件时指定这些权限。 或者,对于组织中因已实现 加入控制而免除使用 Azure Rights Management 服务的用户。 | Office 自定义权限:不适用。 Microsoft Purview 门户中的名称: 全部答复 (全部回复) AD RMS 模板中的名称: 全部答复 API 常量或值: MSIPC: IPC_EMAIL_REPLYALL L"REPLYALL"MIP SDK: REPLYALL |
| 公用名称: View、Open、Read 策略中的编码: VIEW |
允许用户打开文档并查看内容。 此外: - 在 Microsoft 365 Copilot 和其他 AI 应用中,允许 LLM 使用链接引用项目,但无需汇总内容,以便用户可以在 AI 应用外部打开并查看内容。 在 Excel 中,此权限不足以对数据进行排序,这需要以下权限: 编辑内容、编辑。 若要在 Excel 中筛选数据,需要以下两个权限: 编辑内容、编辑 和 复制。 |
Office 自定义权限:作为 “读取 自定义策略 ”,“查看 ”选项。 Microsoft Purview 门户中的名称: View、Open、Read (VIEW) AD RMS 模板中的名称: 读取 API 常量或值: MSIPC: IPC_GENERIC_READ L"VIEW"MIP SDK: VIEW |
| 公用名: 复制 策略中的编码: EXTRACT |
启用将数据复制 (包括屏幕捕获) 从项目复制到同一项或另一项的选项。 此外: - 在 Microsoft 365 Copilot 和其他 AI 应用中,允许 LLM 访问和汇总请求用户的内容。 - 在某些应用程序中,此权限还允许以未加密的方式保存整个文档。 在 Microsoft Teams 和类似的屏幕共享应用程序中,演示者必须具有此权限才能成功呈现加密文档。 如果演示者没有此权限,则与会者无法查看文档,并且文档显示为黑屏。 |
Office 自定义权限:作为 “允许具有读取访问权限的用户复制内容 ”自定义策略选项。 Microsoft Purview 门户中的名称: 复制 (EXTRACT) AD RMS 模板中的名称: 提取 API 常量或值: MSIPC: IPC_GENERIC_EXTRACT L"EXTRACT"MIP SDK: EXTRACT |
| 公用名: 查看权限 策略中的编码: VIEWRIGHTSDATA |
允许用户查看应用于文档的策略。 Office 应用或 Microsoft Purview 信息保护 客户端不支持。 | Office 自定义权限:未实现。 Microsoft Purview 门户中的名称: View Rights (VIEWRIGHTSDATA) 。 AD RMS 模板中的名称: 查看权限 API 常量或值: MSIPC: IPC_READ_RIGHTS L"VIEWRIGHTSDATA"MIP SDK: VIEWRIGHTSDATA |
| 公用名: 更改权限 策略中的编码: EDITRIGHTSDATA |
允许用户更改应用于文档的策略。 包括删除加密。 Office 应用或 Microsoft Purview 信息保护 客户端不支持。 | Office 自定义权限:未实现。 Microsoft Purview 门户中的名称: 编辑权限 (EDITRIGHTSDATA) 。 AD RMS 模板中的名称: 编辑权限 API 常量或值: MSIPC: PC_WRITE_RIGHTS L"EDITRIGHTSDATA"MIP SDK: EDITRIGHTSDATA |
| 公用名: 允许宏 策略中的编码: OBJMODEL |
启用选项以运行宏或对文档中的内容执行其他编程或远程访问。 | Office 自定义权限:作为 “允许编程访问 ”自定义策略选项。 不是按收件人设置。 Microsoft Purview 门户中的名称: 允许宏 (OBJMODEL) AD RMS 模板中的名称: 允许宏 API 常量或值: MSIPC: 未实现。 MIP SDK: OBJMODEL |
权限级别中包含的权限
某些应用程序将使用权限分组到权限级别,以便更轻松地选择通常一起使用的使用权限。 这些权限级别有助于从用户中抽象出一定程度的复杂性,以便他们可以选择基于角色的选项。 例如,查看器和受限编辑器。 尽管这些选项通常向用户显示权限的摘要,但它们可能不会包括上表中列出的每个权限。
使用下表获取这些权限级别的列表以及它们包含的使用权限的完整列表。 使用权限按 公用名列出。
| 权限级别 | 应用程序 | 包含的使用权限 |
|---|---|---|
| 查看器 | Microsoft Purview 门户 Microsoft Purview 信息保护客户端 |
查看、打开、读取;查看权限;答复 [1];全部答复 [1];允许宏 [2] 注意:对于电子邮件,请使用审阅者而不是此权限级别,以确保电子邮件答复作为电子邮件而不是附件接收。 向使用 Outlook 客户端或 Outlook Web 应用的其他组织发送电子邮件时,还需要审阅者。 或者,对于组织中因已实现 加入控制而免除使用 Azure Rights Management 服务的用户。 |
|
受限编辑器 (以前 审阅者[3]) |
Microsoft Purview 门户 Microsoft Purview 信息保护客户端 |
查看、打开、读取;救;编辑内容,编辑;查看权限;答复:全部答复;向前;允许宏 [2] |
|
编辑器 (以前 是共同作者[3]) |
Microsoft Purview 门户 Microsoft Purview 信息保护客户端 |
查看、打开、读取;救;编辑内容,编辑;复制;查看权限;允许宏 [2];另存为,导出 [4];打印;答;全部答复;向前 |
|
Owner (以前 共同所有者[3]) |
Microsoft Purview 门户 Microsoft Purview 信息保护客户端 |
查看、打开、读取;救;编辑内容,编辑;复制;查看权限;更改权限;允许宏;另存为、导出;打印;答;全部答复;向前;完全控制 |
脚注 1
不包括在 Microsoft Purview 门户中。
脚注 2
未包含在 Word、Excel 和 PowerPoint for Windows (版本 2408+) 中的自定义权限对话框中。
脚注 3
Microsoft Purview 门户以及 Word、Excel 和 PowerPoint for Windows (版本 2411+) 中的自定义权限对话框已更新权限级别命名。 审阅者现在称为受限编辑器,共同作者现在称为编辑器,共同所有者现在称为所有者。 其他应用程序继续使用原始权限级别命名。
脚注 4
不包括在 Microsoft Purview 门户中。
电子邮件的不转发选项
Exchange 客户端和服务 (例如,Outlook 客户端、Outlook 网页版、Exchange 邮件流规则和 Exchange) DLP作对电子邮件具有额外的信息权限保护选项:请勿转发。
尽管此选项对用户 (和 Exchange 管理员) 显示为他们可以选择的默认 Rights Management 模板一样,但 “请勿转发 ”不是模板。 相反,“ 请勿转发 ”选项是由用户动态应用于其电子邮件收件人的一组使用权限。
将“ 不转发 ”选项应用于电子邮件时,电子邮件已加密,收件人必须进行身份验证。 然后,收件人无法转发、打印或复制它。 例如,在 Outlook 客户端中,“转发”按钮不可用,“ 另存为 ”和“ 打印 ”菜单选项不可用,并且无法在“ 收件人”、“ 抄送”或“ 密件抄送 ”框中添加或更改收件人。
附加到电子邮件的未加密 Office 文档 会自动继承相同的限制。 应用于这些文档的使用权限为 “编辑内容”、“编辑”; 保存; 查看、打开、读取;和 “允许宏”。 如果希望附件具有不同的使用权限,或者附件不是支持此继承加密的 Office 文档,请先加密文件,然后再将其附加到电子邮件。 然后,可以分配文件所需的特定使用权限。
“不转发”和“不授予转发”使用权限之间的区别
应用 “请勿转发 ”选项和应用不向电子邮件授予 转发 使用权限的权限管理模板之间有一个重要的区别:“ 不转发 ”选项使用基于用户所选的原始电子邮件收件人的授权用户的动态列表;而模板中的权限具有管理员先前指定的已授权用户的静态列表。 有什么区别? 让我们以一个示例为例:
用户希望通过电子邮件将一些不应与其他人共享的信息发送给营销部门中的特定人员。 他们是否应使用权限管理模板保护电子邮件,该模板限制 (查看、答复和保存) 到营销部门的权限? 还是应选择“ 不转发” 选项? 这两个选项都会导致收件人无法转发电子邮件。
如果他们应用了模板,则收件人仍然可以与营销部门的其他人共享信息。 例如,收件人可以使用资源管理器将电子邮件拖放到共享位置或 U 盘。 现在,任何来自营销部门的 (和电子邮件所有者) 谁有权访问此位置,都可以查看电子邮件中的信息。
如果他们应用了 “不转发” 选项,收件人将无法通过将电子邮件移动到其他位置来与营销部门中的其他人共享信息。 在这种情况下,只有原始收件人 (且电子邮件所有者) 才能查看电子邮件中的信息。
注意
当只有发件人选择的收件人应看到电子邮件中的信息很重要时,请使用 “请勿转发 ”。 使用电子邮件模板将权限限制为管理员提前指定的一组人员,与发件人所选收件人无关。
电子邮件的“仅加密”选项
当Exchange Online使用Microsoft Purview 邮件加密时,新的“加密电子邮件”选项将变为可用,以在没有任何其他限制的情况下加密数据。
此选项可供使用 Exchange Online 的租户使用,可按如下所示进行选择:
- 在 Outlook 网页版,其中包含“加密”选项或为“允许用户分配权限”和“仅加密”选项配置的敏感度标签
- 作为邮件流规则的另一个权限保护选项
- Microsoft Purview DLP作
- 从适用于桌面和移动设备的 Outlook 应用中:
- 使用敏感度标签,该标签配置为 “允许用户分配权限 ”和“ 仅加密” 选项,适用于 Windows、macOS、iOS 和 Android,而敏感度标签与 Outlook 中敏感度标签功能表中列出的最低版本。
- 使用 Windows 和 macOS 上的“加密”选项,对于按更新通道Microsoft 365 应用版支持的版本表中列出的版本。
有关仅加密选项的详细信息,请参阅 Office 团队首次宣布的以下博客文章:仅在Office 365邮件加密中推出加密。
选择此选项后,将加密电子邮件,并且收件人必须进行身份验证。 然后,收件人拥有除 “另存为”、“导出 ”和 “完全控制”之外的所有使用权限。 这种使用权限的组合意味着收件人除了无法删除加密之外没有限制。 例如,收件人可以从邮件中复制、打印和转发。
同样,默认情况下,附加到电子邮件的未加密 Office 文档 将继承相同的权限。 这些文档会自动加密,下载后,收件人可以从 Office 应用程序中保存、编辑、复制和打印这些文档。 当收件人保存文档时,可以将其保存为新名称,甚至可以保存为不同的格式。 但是,只有支持 Rights Management 加密的文件格式可用,因此如果没有原始加密,文档就无法保存。 如果希望附件具有不同的使用权限,或者附件不是支持此继承加密的 Office 文档,请先加密文件,然后再将其附加到电子邮件。 然后,可以分配文件所需的特定使用权限。
或者,可以通过使用 Exchange Online PowerShell 指定Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true来更改文档的此加密继承。 在对用户进行身份验证后,无需保留文档的原始加密时,请使用此配置。 当收件人打开电子邮件时,文档未加密。
注意
如果看到对 DecryptAttachmentFromPortal 的引用,则此参数现在已弃用 Set-IRMConfiguration。 除非之前已设置此参数,否则它不可用。
使用Exchange Online自动加密 PDF 文档
当Exchange Online使用Microsoft Purview 邮件加密时,可以在 PDF 文档附加到加密电子邮件时自动对其进行加密。 文档继承与电子邮件相同的权限。 若要启用此配置,请使用 Set-IRMConfiguration 设置 EnablePdfEncryption $True。
收件人可以使用 Microsoft Edge 查看加密的 PDF 文档。 或者,收件人可以在 OME 门户中读取加密的 PDF 文档。
Rights Management 颁发者和 Rights Management 所有者
使用 Azure Rights Management 服务加密项目时,加密该内容的帐户将自动成为该内容的权限管理颁发者。 此帐户在使用情况日志中记录为颁发者字段。
始终向 Rights Management 颁发者授予项的“完全控制”使用权限,此外:
如果加密设置包含到期日期,则 Rights Management 颁发者仍然可以在该日期之后打开和编辑文档或电子邮件。
Rights Management 颁发者可以始终在脱机状态下访问文档或电子邮件。
在文档被撤销后,Rights Management 颁发者仍然可以打开该文档。
默认情况下,此帐户也是该内容 的权限管理所有者 ,即创建项的用户启动加密时的情况。 但在某些情况下,管理员或服务可以代表用户加密内容。 例如:
管理员批量加密文件共享上的文件:Microsoft Entra ID 中的管理员帐户对用户的文档进行加密。
Rights Management 连接器加密Windows Server文件夹中的 Office 文档:为 Rights Management 连接器创建的 Microsoft Entra ID 中的服务主体帐户为用户加密文档。
在这些方案中,Rights Management 颁发者可以使用 Microsoft 信息保护 SDK 或 PowerShell 将 Rights Management 所有者分配到另一个帐户。 例如,将 Set-LabelFile PowerShell cmdlet 与 Microsoft Purview 信息保护 客户端一起使用时,可以指定 Owner 参数将 Rights Management 所有者分配到另一个帐户。
当权限管理颁发者代表用户加密时,分配 Rights Management 所有者可确保原始项目所有者对其加密内容具有与其自己启动加密相同的控制级别。
例如,创建文档的用户可以打印文档,即使现在标记了不包含“打印使用”权限的加密设置。 无论在加密设置中配置的脱机访问设置或到期日期如何,同一用户始终都可以访问其文档。 此外,由于 Rights Management 所有者具有“完全控制”使用权限,因此此用户还可以重新加密文档以授予其他用户访问权限 (此时用户将成为 Rights Management 颁发者以及权限管理所有者) ,此用户甚至可以删除加密。 但是,只有 Rights Management 颁发者才能跟踪和撤销文档。
项的 Rights Management 所有者将记录为使用情况日志中的所有者电子邮件字段。
注意
Rights Management 所有者独立于 Windows 文件系统所有者。 它们通常相同,但可能不同,即使不使用 SDK 或 PowerShell 也是如此。
权限管理使用许可证
当用户打开已由 Azure Rights Management 服务加密的项目时,将向用户授予权限管理使用该内容的许可证。 此使用许可证是包含用户对项目的使用权限的证书,以及用于加密内容的加密密钥。 如果已设置此日期,则使用许可证还包含到期日期以及使用许可证的有效期。
除了权限帐户证书 (RAC) 之外,用户还必须具有有效的使用许可证才能打开内容,该证书是在 初始化用户环境 后每 31 天续订一次时授予的证书。
在使用许可证期间,用户不会对内容重新进行身份验证或重新授权。 这允许用户在没有 Internet 连接的情况下继续打开加密项。 当使用许可证有效期到期时,用户下次访问加密项目时,必须重新进行身份验证并重新授权用户。
使用定义加密设置的敏感度标签加密项目时,可以在敏感度标签中更改这些设置,而无需再次加密内容。 如果用户已访问内容,则更改在其使用许可证过期后生效。 但是,如果用户自行应用权限 (也称为用户定义权限、自定义权限或临时权限策略) 并且这些权限需要在项目加密后进行更改,则必须使用新权限再次加密该内容。 电子邮件的用户定义权限是使用“不转发”选项实现的。
租户的默认使用许可证有效期为 30 天,可以使用 PowerShell cmdlet Set-AipServiceMaxUseLicenseValidityTime 配置此值。 可以使用配置为立即分配权限的敏感度标签或权限管理模板,为何时应用加密配置更严格的设置:
配置敏感度标签时,使用许可证有效期取自 “允许脱机访问” 设置的值。
有关为敏感度标签配置此设置的详细信息和指南,请参阅说明如何立即为敏感度标签 配置权限 的建议表。
使用 PowerShell 配置权限管理模板时,使用许可证有效期取自 Set-AipServiceTemplateProperty 和 Add-AipServiceTemplate cmdlet 中的 LicenseValidityDuration 参数的值。
有关使用 PowerShell 配置此设置的详细信息和指南,请参阅每个 cmdlet 的帮助。