本文說明當使用者、系統管理員或已設定的服務選取 Microsoft Purview 資訊保護 的敏感度標籤時,您可以設定為自動套用的使用許可權。
當您設定加密的敏感度標籤或權限管理範本時,會選取使用權限。 例如,您可以選取配置使用權限邏輯群組的角色,或個別設定個別權限。 或者,使用者可以自行選取並套用使用權限。
重要事項
使用本文來瞭解如何使用權限的設計,以由應用程式解譯。
應用程式實作使用權限的方式可能有所不同,建議您在部署生產環境之前,先查閱應用程式的文件並進行自己的測試以檢查應用程式行為。
使用權限和說明
下表列出並說明 Rights Management 支援的使用權限,以及這些權限的使用和解譯方式。 它們會依其 一般名稱列出,這通常是您可能會看到使用方式顯示或參考的方式,作為程式碼中使用的單字值的更易記版本, (原則值) 中 編碼。
在此表格中:
API 常數或值是 MSIPC 或 Microsoft 資訊保護 SDK API 呼叫的 SDK 名稱,當您撰寫檢查使用許可權的應用程式,或將使用許可權新增至原則時使用。
AD RMS 範本中的名稱包含在內部部署 Rights Management 解決方案 Active Rights Management Services 上或從內部部署 Rights Management Services 移轉的客戶。
| 使用權 | 描述 | 實作 |
|---|---|---|
| 通用名稱: 編輯內容、編輯 原則中的編碼: DOCEDIT |
允許使用者修改、重新排列、格式化或排序應用程式內的內容,其中包括 Office 網頁版。 它不授予保存編輯副本的權利。 | Office 自訂權限:作為 [變更 ] 和 [完全控制 ] 選項的一部分。 Microsoft Purview 入口網站中的名稱: 編輯內容、編輯 (DOCEDIT) AD RMS 範本中的名稱: 編輯 API 常數或值: MSIPC: 不適用。 MIP 開發套件: DOCEDIT |
| 通用名稱: 儲存 原則中的編碼: 編輯 |
允許使用者將項目儲存至目前位置。 在 Office 網頁版中,它也允許使用者編輯內容。 在 Office 應用程式中,如果選取的檔案格式內建了對 Rights Management 的支援,則此權限允許使用者將檔案的內容儲存到新位置並使用新名稱。 可用的檔案格式清單僅限於支援 Rights Management 的檔案格式。 此限制可確保無法從檔案中移除原始加密。 |
Office 自訂權限:作為 [變更 ] 和 [完全控制 ] 選項的一部分。 Microsoft Purview 入口網站中的名稱: 儲存 (編輯) AD RMS 範本中的名稱: 儲存 API 常數或值: MSIPC: IPC_GENERIC_WRITE L"EDIT"MIP 開發套件: EDIT |
| 通用名稱: 註解 原則中的編碼: COMMENT |
啟用將註解或註解新增至內容的選項。 此許可權可在 SDK 中使用,可在 PurviewInformationProtection PowerShell 模組中作為臨機操作原則使用,而且已在某些軟體廠商應用程式中實作。 不過,它並未廣泛使用,而且 Office 應用程式也不支援。 |
Office 自訂權限:未實作。 Microsoft Purview 入口網站中的名稱:未實作。 AD RMS 範本中的名稱:未實作。 API 常數或值: MSIPC: IPC_GENERIC_COMMENT L"COMMENTMIP 開發套件: COMMENT |
| 通用名稱: 另存新檔、導出 原則中的編碼: EXPORT |
啟用將內容儲存至不同檔案名稱的選項 (另存新檔) 。 此權限也允許使用者在應用程式中執行其他匯出選項,例如 「傳送至 OneNote」。 |
Office 自訂權限:作為 [完全控制 ] 選項的一部分。 Microsoft Purview 入口網站中的名稱: 另存新檔、匯出 (匯出) AD RMS 範本中的名稱: 匯出 (另存新檔) API 常數或值: MSIPC: IPC_GENERIC_EXPORT L"EXPORT"MIP 開發套件: EXPORT |
| 通用名稱: 轉發 原則中的編碼: FORWARD |
啟用轉寄電子郵件訊息的選項,以及將收件者新增至「 收件者 」和「 副本 」行。 此權利不適用於文件;只有電子郵件。 不允許轉寄器在轉發動作中將權限授與其他使用者。 當您授與此權限時,也授與 [編輯內容]、[編輯 ] (一般名稱) 權限,並另外授與 [儲存 ] 一般名稱 (權限) ,以確保加密的電子郵件訊息不會以附件形式傳遞。 當您將電子郵件傳送至使用 Outlook 用戶端或 Outlook Web App 的另一個組織時,也指定這些權限。 或者,對於組織中因您已實作 上線控制而免於使用 Rights Management 加密的使用者。 |
Office 自訂權限:使用 「請勿轉寄 」標準原則時遭到拒絕。 Microsoft Purview 入口網站中的名稱: 轉寄 (轉寄) AD RMS 範本中的名稱: 轉寄 API 常數或值: MSIPC: IPC_EMAIL_FORWARD L"FORWARD"MIP 開發套件: FORWARD |
| 通用名稱: 完全控制 原則中的編碼: OWNER |
授予項目的所有權限,並且可以執行所有可用的操作。 包括刪除加密和重新加密文檔的功能。 請注意,此使用權限與 Rights Management 擁有者不同。 | Office 自訂權限:作為 Full Control 自訂選項。 Microsoft Purview 入口網站中的名稱: OWNER) (完全控制 AD RMS 範本中的名稱: 完全控制 API 常數或值: MSIPC: IPC_GENERIC_ALL L"OWNER"MIP 開發套件: OWNER |
| 通用名稱: 列印 原則中的編碼: 列印 |
啟用列印內容的選項。 | Office 自訂權限:作為自訂權限中的 列印內容 選項。 不是每個收件者的設定。 Microsoft Purview 入口網站中的名稱: 列印 (列印) AD RMS 範本中的名稱: 列印 API 常數或值: MSIPC: IPC_GENERIC_PRINT L"PRINT"MIP 開發套件: PRINT |
| 通用名稱: 回覆 原則中的編碼: 回覆 |
在電子郵件用戶端中啟用 回覆 選項,而不允許變更 收件者 或 抄送 行。 當您授與此權限時,也授與 [編輯內容]、[編輯 ] (一般名稱) 權限,並另外授與 [儲存 ] 一般名稱 (權限) ,以確保加密的電子郵件訊息不會以附件形式傳遞。 當您將電子郵件傳送至使用 Outlook 用戶端或 Outlook Web App 的另一個組織時,也指定這些權限。 或者,對於組織中因您已實作 上線控制而免於使用 Rights Management 保護的使用者。 | Office自訂權限:不適用。 AD RMS 範本中的名稱: 回覆 API 常數或值: MSIPC: IPC_EMAIL_REPLYMIP 開發套件: REPLY |
| 通用名稱: 全部回覆 原則中的編碼: REPLYALL |
在電子郵件用戶端中啟用 [全部回覆 ] 選項,但不允許使用者將收件者新增至 [ 收件者 ] 或 [抄送 ] 行。 當您授與此權限時,也授與 [編輯內容]、[編輯 ] (一般名稱) 權限,並另外授與 [儲存 ] 一般名稱 (權限) ,以確保加密的電子郵件訊息不會以附件形式傳遞。 當您將電子郵件傳送至使用 Outlook 用戶端或 Outlook Web App 的另一個組織時,也指定這些權限。 或者,對於組織中因您已實作上 線控制項而免於使用 Azure Rights Management 服務的使用者。 | Office自訂權限:不適用。 Microsoft Purview 入口網站中的名稱: 全部回覆 (全部回覆) AD RMS 範本中的名稱: 全部回覆 API 常數或值: MSIPC: IPC_EMAIL_REPLYALL L"REPLYALL"MIP 開發套件: REPLYALL |
| 通用名稱: 檢視、開啟、讀取 原則中的編碼: VIEW |
允許使用者開啟文件並查看內容。 此外: - 在 Microsoft 365 Copilot 和其他 AI 應用程式中,允許 LLM 使用連結引用項目,但不摘要內容,因此使用者隨後可以在 AI 應用程式之外開啟和查看內容。 在 Excel 中,此權限不足以排序數據,這需要下列權限: 編輯內容、編輯。 要在Excel中過濾數據,您需要以下兩個權限: 編輯內容,編輯 和 複製。 |
Office 自訂權限:作為 [讀取 自訂 原則] 選項 。 Microsoft Purview 入口網站中的名稱: 檢視、開啟、讀取 (檢視) AD RMS 範本中的名稱: 讀取 API 常數或值: MSIPC: IPC_GENERIC_READ L"VIEW"MIP 開發套件: VIEW |
| 通用名稱: 複製 原則中的編碼: EXTRACT |
啟用選項,將資料 (包括從項目) 的螢幕擷取複製到相同或另一個項目。 此外: - 在 Microsoft 365 Copilot 和其他 AI 應用程式中,允許 LLM 存取和摘要要求使用者的內容。 - 在某些應用程式中,此權限還允許以未加密的方式儲存整個文件。 在 Microsoft Teams 和類似的螢幕共用應用程式中,簡報者必須擁有此權限才能成功呈現加密檔。 如果簡報者沒有此權限,出席者就無法檢視文件,而且文件會顯示為塗黑。 |
Office 自定義權限:作為 [允許具有讀取許可權的使用者複製內容 自定義原則] 選項。 Microsoft Purview 入口網站中的名稱: 複製 (擷取) AD RMS 範本中的名稱: 擷取 API 常數或值: MSIPC: IPC_GENERIC_EXTRACT L"EXTRACT"MIP 開發套件: EXTRACT |
| 通用名稱: 檢視權限 原則中的編碼: VIEWRIGHTSDATA |
允許使用者查看套用至文件的原則。 Office 應用程式或 Microsoft Purview 資訊保護用戶端不支援。 | Office 自訂權限:未實作。 Microsoft Purview 入口網站中的名稱: 檢視權限 (VIEWRIGHTSDATA) 。 AD RMS 範本中的名稱: 檢視權限 API 常數或值: MSIPC: IPC_READ_RIGHTS L"VIEWRIGHTSDATA"MIP 開發套件: VIEWRIGHTSDATA |
| 通用名稱: 變更權限 原則中的編碼: EDITRIGHTSDATA |
允許使用者變更套用至文件的原則。 包括刪除加密。 Office 應用程式或 Microsoft Purview 資訊保護用戶端不支援。 | Office 自訂權限:未實作。 Microsoft Purview 入口網站中的名稱: 編輯許可權 (EDITRIGHTSDATA) 。 AD RMS 範本中的名稱: 編輯權限 API 常數或值: MSIPC: PC_WRITE_RIGHTS L"EDITRIGHTSDATA"MIP 開發套件: EDITRIGHTSDATA |
| 通用名稱: 允許巨集 原則中的編碼: OBJMODEL |
啟用執行巨集或對文件中內容執行其他程式設計或遠端存取的選項。 | Office 自訂權限:作為 [允許程式設計存取 ] 自訂原則選項。 不是每個收件者的設定。 Microsoft Purview 入口網站中的名稱: 允許巨集 (OBJMODEL) AD RMS 範本中的名稱: 允許巨集 API 常數或值: MSIPC: 未實施。 MIP 開發套件: OBJMODEL |
權限層級中包含的權限
某些應用程式將使用權限分組到權限層級中,以便更輕鬆地選取通常一起使用的使用權限。 這些權限層級有助於從使用者中抽象化複雜程度,以便他們可以選擇以角色為基礎的選項。 例如,檢視器和受限制的編輯器。 雖然這些選項通常會向使用者顯示權限摘要,但它們可能不包括上表中列出的每個權限。
使用下表取得這些權限層級的清單,以及它們所包含的使用權限的完整清單。 使用權限會依其 一般名稱列出。
| 權限層級 | 應用程式 | 包含使用權限 |
|---|---|---|
| 檢視者 | Microsoft Purview 入口網站 Microsoft Purview 資訊保護用戶端 |
查看、打開、閱讀;查看權;回覆 [1];全部回覆 [1];允許巨集 [2] 附註:對於電子郵件,請使用「檢閱者」而不是此權限層級,以確保以電子郵件訊息而非附件的形式接收電子郵件回覆。 當您將電子郵件傳送至使用 Outlook 用戶端或 Outlook Web App 的其他組織時,也需要檢閱者。 或者,對於組織中因您已實作上 線控制項而免於使用 Azure Rights Management 服務的使用者。 |
|
受限編輯器 (以前的 審稿人[3]) |
Microsoft Purview 入口網站 Microsoft Purview 資訊保護用戶端 |
查看、打開、閱讀;救;編輯內容,編輯;查看權;回覆:全部回覆;前;允許巨集 [2] |
|
編輯者 (曾合 著[3]) |
Microsoft Purview 入口網站 Microsoft Purview 資訊保護用戶端 |
查看、打開、閱讀;救;編輯內容,編輯;抄;查看權;允許巨集 [2];另存為,導出 [4];印;答;全部回覆;前 |
|
Owner (曾共同 擁有[3]) |
Microsoft Purview 入口網站 Microsoft Purview 資訊保護用戶端 |
查看、打開、閱讀;救;編輯內容,編輯;抄;查看權;變更權利;允許巨集;另存新檔,導出;印;答;全部回覆;前;完全控制 |
註腳 1
不包含在 Microsoft Purview 入口網站中。
註腳 2
不包含在 Windows 版 Word、Excel 和 PowerPoint (版本 2408+) 中的自訂權限對話方塊中。
註腳 3
Microsoft Purview 入口網站和 Windows 版 Word、Excel 和 PowerPoint 中的自定義許可權對話方塊 (2411+ 版) 已更新許可權層級命名。 檢閱者現在稱為受限制編輯器,共同作者現在稱為編輯器,共同擁有者現在稱為擁有者。 其他應用程式會繼續使用原始許可權層級命名。
註腳 4
不包含在 Microsoft Purview 入口網站中。
電子郵件的 [不可轉寄] 選項
Exchange 用戶端和服務 (例如,Exchange 用戶端、Outlook 網頁版、Exchange 郵件流程規則和 Exchange 的 DLP 動作) 具有電子郵件的其他資訊權限保護選項:請勿轉寄。
雖然此選項對使用者 (和 Exchange 系統管理員) 顯示,就好像它是他們可以選取的預設 Rights Management 範本一樣,但 [請勿轉寄 ] 不是範本。 相反地,「 不轉寄 」選項是一組使用權限,由使用者動態套用至其電子郵件收件者。
當「 不轉寄 」選項套用至電子郵件時,電子郵件會加密,且必須驗證收件者。 然後,收件者就無法轉寄、列印或複製它。 例如,在 Outlook 用戶端中,無法使用 [轉寄] 按鈕、[ 另存新檔 ] 和 [列印] 功能表選項無法使用,而且您無法在 [ 收件者]、[ 副本] 或 [密件副本 ] 方塊中新增或變更收件者。
附加至電子郵件的未加密 Office 文件 會自動繼承相同的限制。 套用至這些文件的使用權限為 「編輯內容」、「編輯」; 儲存; 查看、打開、閱讀;和 允許巨集。 如果您想要附件有不同的使用權限,或您的附件不是支援此繼承加密的 Office 文件,請先加密檔案,再附加至電子郵件。 然後,您可以指派檔案所需的特定使用權限。
「不轉寄」和「不授予轉寄」使用權限之間的區別
套用 [請勿轉寄 ] 選項與套用未授與電子郵件 [轉寄] 使用權限的權限管理範本之間有重要差異:[ 請勿轉寄] 選項會使用授權使用者的動態清單,該清單會以使用者選擇的原始電子郵件收件者為基礎;而範本中的權限具有管理員先前指定的授權使用者的靜態清單。 有什麼區別? 我們舉個例子:
使用者想要透過電子郵件將一些資訊傳送給行銷部門中不應與其他任何人共用的特定人員。 他們是否應該使用權限管理範本來保護電子郵件,該範本限制檢視、回覆和儲存) 給行銷部門 (權限? 或者他們應該選擇“ 不轉發 ”選項? 這兩個選項都會導致收件者無法轉寄電子郵件。
如果他們套用範本,收件者仍可與行銷部門的其他人共用資訊。 例如,收件者可以使用資源管理器將電子郵件拖放到共享位置或 USB 隨身碟。 現在,行銷部門 (和電子郵件擁有者) 有權存取此位置的任何人都可以檢視電子郵件中的資訊。
如果他們套用了「 不轉寄」 選項,收件者將無法透過將電子郵件移至另一個位置來與行銷部門中的任何其他人共用資訊。 在此案例中,只有原始收件者 (和電子郵件擁有者) 才能檢視電子郵件中的資訊。
注意事項
當只有寄件者選擇的收件者才能看到電子郵件中的資訊時,請使用「請勿轉寄」。 使用電子郵件範本,將權限限制為管理員預先指定的一組人員,獨立於寄件者選擇的收件者。
電子郵件的僅加密選項
當 Exchange Online 使用 Microsoft Purview 郵件加密時,新的 [加密電子郵件] 選項會變成可用,以加密數據,而不需要其他限制。
此選項可供使用 Exchange Online 的租用戶使用,而且可以選取如下:
- 在 Outlook 網頁版中,具有 [加密] 選項或針對 [讓使用者指派許可權] 和 [僅限加密] 選項設定的敏感度標籤
- 作為郵件流程規則的另一個權利保護選項
- 作為 Microsoft Purview DLP 動作
- 從桌面和行動裝置的 Outlook 應用程式:
- 當您使用 Outlook 中敏感度標籤功能表中列出的最低版本時,適用於 Windows、macOS、iOS 和 Android 的敏感度標籤。
- 使用 Windows 和 macOS 上的 [加密] 選項,適用於依更新通道的 Microsoft 365 Apps 支援版本表格中列出的版本。
如需僅限加密選項的詳細資訊,請參閱 Office 小組首次宣布時的下列部落格文章:僅在 Office 365 郵件加密中推出加密。
選取此選項時,電子郵件會加密,且必須驗證收件者。 然後,收件者擁有除 「另存新檔」、「匯出 」和 「完全控制」之外的所有使用權限。 這種使用權限的組合意味著收件者除了無法刪除加密之外沒有任何限制。 例如,收件者可以從電子郵件複製、列印,然後轉寄。
同樣地,依預設,附加至電子郵件的未加密 Office 文件 會繼承相同的許可權。 這些文件會自動加密,下載時,收件者可以從 Office 應用程式儲存、編輯、複製和列印。 收件者儲存文件時,可以將其儲存為新名稱,甚至不同的格式。 不過,只有支援 Rights Management 加密的檔案格式可用,因此無法在沒有原始加密的情況下儲存檔。 如果您想要附件有不同的使用權限,或您的附件不是支援此繼承加密的 Office 文件,請先加密檔案,再附加至電子郵件。 然後,您可以指派檔案所需的特定使用權限。
或者,您可以使用 Exchange Online PowerShell 指定Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true,以變更檔的此加密繼承。 當您不需要在使用者驗證後保留文件的原始加密時,請使用此設定。 當收件者開啟電子郵件訊息時,文件不會加密。
注意事項
如果您看到 DecryptAttachmentFromPortal 的參考,則 Set-IRMConfiguration 現在已取代此參數。 除非您先前已設定此參數,否則無法使用。
使用 Exchange Online 自動加密 PDF 文件
當 Exchange Online 使用 Microsoft Purview 郵件加密時,您可以在 PDF 檔附加至加密電子郵件時自動加密 PDF 檔。 文件繼承與電子郵件訊息相同的許可權。 若要啟用此設定,請使用 Set-IRMConfiguration 設定 EnablePdfEncryption $True。
收件者可以使用 Microsoft Edge 來檢視加密的 PDF 文件。 或者,收件者可以在OME入口網站中讀取加密的PDF檔案。
Rights Management 發行者和 Rights Management 擁有者
使用 Azure Rights Management 服務加密專案時,加密該內容的帳戶會自動成為該內容的 Rights Management 簽發者。 此帳戶會在使用記錄中記錄為簽發者欄位。
Rights Management 簽發者一律會獲授與專案的完整控制使用權限,此外:
如果加密設定包含到期日,Rights Management 簽發者仍可在該日期之後開啟和編輯文件或電子郵件。
Rights Management 簽發者一律可以離線存取文件或電子郵件。
Rights Management 簽發者仍可以開啟撤銷後的文件。
根據預設,此帳戶也是該內容的 Rights Management 擁有者 ,當建立項目的使用者起始加密時,就會發生這種情況。 但在某些情況下,系統管理員或服務可以代表使用者加密內容。 例如:
系統管理員會大量加密檔案共用上的檔案:Microsoft Entra ID 中的系統管理員帳戶會加密使用者的文件。
Rights Management 連接器會加密 Windows Server 資料夾上的 Office 文件:針對 Rights Management 連接器建立的 Microsoft Entra ID 中服務主體帳戶會為使用者加密文件。
在這些案例中,Rights Management 簽發者可以使用 Microsoft 資訊保護 SDK 或 PowerShell,將 Rights Management 擁有者指派給另一個帳戶。 例如,當您搭配 Microsoft Purview 資訊保護用戶端使用 Set-LabelFile PowerShell Cmdlet 時,您可以指定 Owner 參數,將 Rights Management 擁有者指派給另一個帳戶。
當 Rights Management 簽發者代表使用者進行加密時,指派 Rights Management 擁有者可確保原始專案擁有者對其加密內容具有相同層級的控制權,就像他們自己起始加密一樣。
例如,建立文件的使用者可以列印文件,即使它現在標有不包含「列印」使用權限的加密設定。 同一使用者一律可以存取其文件,而不論加密設定中可能已設定的離線存取設定或到期日為何。 此外,由於 Rights Management 擁有者具有 [完全控制] 使用權限,因此此使用者也可以重新加密檔,以授與其他使用者存取權 (此時使用者會成為 Rights Management 簽發者以及 Rights Management 擁有者) ,而且此使用者甚至可以移除加密。 不過,只有 Rights Management 簽發者可以追蹤和撤銷檔。
項目的 Rights Management 擁有者會記錄為使用記錄中的擁有者電子郵件欄位。
注意事項
Rights Management 擁有者獨立於 Windows 檔案系統擁有者。 它們通常相同,但可能不同,即使您不使用 SDK 或 PowerShell 也一樣。
權限管理使用授權
當使用者開啟已由 Azure Rights Management 服務加密的項目時,會將該內容的 Rights Management 使用授權授與使用者。 此使用授權是包含使用者對項目的使用權限的憑證,以及用來加密內容的加密金鑰。 使用授權也包含到期日(如果已設定),以及使用授權的有效期限。
除了其權限帳戶憑證 (RAC) 之外,使用者還必須擁有有效的使用授權才能開啟內容,這是 在使用者環境初始化 時授與的憑證,然後每 31 天更新一次。
在使用授權期間,使用者不會針對內容進行重新驗證或重新授權。 這可讓使用者在沒有網際網路連線的情況下繼續開啟加密項目。 當使用授權有效期間到期時,使用者下次存取加密項目時,必須重新驗證並重新授權使用者。
使用定義加密設定的敏感度標籤來加密專案時,您可以在敏感度標籤中變更這些設定,而不需要再次加密內容。 如果使用者已存取內容,則變更會在其使用授權到期後生效。 不過,當使用者自行套用權限 (也稱為使用者定義權限、自訂權限或臨機操作權限原則) ,且這些權限需要在項目加密之後變更時,則必須使用新的權限再次加密該內容。 電子郵件訊息的使用者定義許可權是使用 Do Not Forward 選項實作的。
租用戶的預設使用授權有效期間為 30 天,您可以使用 PowerShell Cmdlet Set-AipServiceMaxUseLicenseValidityTime 來設定此值。 您可以使用設定為立即指派許可權的敏感度標籤,或 Rights Management 範本,以設定套用加密時更嚴格的設定:
當您設定敏感度標籤時,使用授權有效期間會從 [允許離線存取] 設定取得其值。
如需針對敏感度標籤設定此設定的詳細資訊和指引,請參閱指示中的建議表格 如何立即設定敏感度標籤的 許可權 。
當您使用 PowerShell 設定權限管理範本時,使用授權有效期間會從 Set-AipServiceTemplateProperty 和 Add-AipServiceTemplate Cmdlet 中的 LicenseValidityDuration 參數取得其值。
如需使用 PowerShell 設定此設定的詳細資訊和指引,請參閱每個 Cmdlet 的說明。