Керування правами доступу до інформації (IRM) допомагає запобігти неналежному використанню конфіденційної інформації неавторизованими користувачами. Функція спеціальних дозволів дає змогу вибрати, хто може переглядати, редагувати або повністю керувати файлом. Якщо в організації активовано мітки конфіденційності, під час застосування певних міток конфіденційності може знадобитися визначення спеціальних дозволів.
Примітки.:
-
Дозволи засобу IRM відрізняються від дозволів SharePoint. Під час застосування спеціальних дозволів до файлу, який зберігається в SharePoint, переконайтеся, що користувачі, яким ви призначаєте дозволи IRM, також мають дозволи SharePoint на доступ до файлу. Докладні відомості про дозволи SharePoint див. в статті Надання спільного доступу до файлів і папок SharePoint
Перегляд вмісту з настроюваними дозволами
Щоб переглянути вміст із настроюваними дозволами, просто відкрийте документ у відповідній програмі M365.
Під час першого відкриття документа з обмеженими дозволами необхідно підключитися до сервера ліцензування, щоб підтвердити свої облікові дані та отримати ліцензію на використання. Ліцензія на використання визначає наявний рівень доступу до файлу. Це обов’язковий процес для кожного файлу з обмеженим доступом. Якщо у вас немає дозволу на перегляд файлу, під час спроби відкрити файл з'явиться повідомлення про відмову в доступі.
Застосування настроюваних дозволів
Наразі застосування спеціальних дозволів підтримується в Microsoft 365 для Windows, Mac і в Інтернеті. Ви все одно можете переглядати вміст із настроюваними дозволами на мобільних платформах, але не можете переглядати або змінювати дозволи.
Обмеження доступу до вмісту файлів
Діалогове вікно настроюваних дозволів відкриється, коли застосовується підпис конфіденційності, який вимагає спеціальних дозволів.
Щоб застосувати спеціальні дозволи без підпису конфіденційності, виберіть пункт Відомості профайл > > Захистити документ > Обмежити доступ > Обмежений доступ.
Примітка.: Якщо в організації активовано мітки конфіденційності, потрібно буде вибрати мітку конфіденційності, щоб обмежити дозволи.
Щоб застосувати обмеження на основі кожного користувача, введіть ім'я або адресу електронної пошти, щоб знайти та вибрати користувача.
Щоб застосувати обмеження для кожної групи, введіть @ і домен.
Важливі зауваження щодо надання дозволів за доменом
Якщо ви вкажете домен для надання дозволів, ви надаєте ці дозволи всім обліковим записам у цій організації.
Це означає, що якщо організація має інші імена доменів у своїх Microsoft Entra ID, ці дозволи також поширюються на цих користувачів. Наприклад, якщо tailwind Toys також володіє доменом contosogames.com у своїй Microsoft Entra ID тоді всі користувачі contosogames.com також отримають дозволи, надані tailwindtoys.com користувачам.
Це також стосується дочірніх доменів. Надання дозволів sales.tailwindtoys.com також надає ці дозволи всім іншим обліковим записам у tailwindtoys.com, а також будь-яким іншим доменам, які вони можуть мати на своїх Microsoft Entra ID.
Визначення користувачів, які можуть виконувати дії з файлом
Рівні дозволів – це попередньо визначені групи прав на використання, які надають користувачам різні дозволи у файлі. У M365 для Windows доступні чотири рівні дозволів:
-
Засіб перегляду. Користувач може переглядати, але не може редагувати, друкувати, копіювати вміст або змінювати й видаляти захист.
-
Обмежений редактор. Користувач може переглядати та редагувати, але не може друкувати, копіювати вміст або змінювати й видаляти захист.
-
Редактор. Користувач може переглядати, редагувати, друкувати та копіювати вміст, але не може змінювати або видаляти захист.
-
Власник. Користувач має повний контроль над файлом, зокрема можливість змінювати або видаляти захист.
Настроювання додаткових параметрів
За потреби можна вказати додаткові параметри під час застосування спеціальних дозволів.
Можна вказати дату завершення терміну дії дозволів.
-
У розділі Додаткові параметри діалогового вікна Дозволи встановіть прапорець "Термін дії цього документа завершується".
-
Скористайтеся засобом вибору дати, щоб вибрати дату завершення терміну дії. Зверніть увагу, що вибрана дата має бути в майбутньому.
Коли користувач відкриває файл, на який у нього немає повних дозволів, йому пропонується звернутися до власника файлу з проханням надати додаткові дозволи. За замовчуванням основний власник файлу – це контакт для цього запиту. Ви можете визначити іншу точку контакту для запиту додаткових дозволів.
Примітка.: Користувачі можуть змінювати дозволи на доступ до файлу, лише якщо вони є власником
За замовчуванням доступ до вмісту файлу, захищеного за допомогою користувацьких дозволів, не можна отримати програмно. Щоб дозволити програмний доступ до вмісту файлу, у діалоговому вікні Дозволи в розділі Додаткові параметри виберіть access content programmatically (Доступ до вмісту).
Коли користувач вперше відкриває файл із обмеженими дозволами в M365 для Windows або Mac, користувачу сервера ліцензування надається ліцензія на використання файлу. Ліцензія на використання – це сертифікат, який містить права на використання файлу, а також ключ шифрування, який використовується для шифрування файлу. Після надання ліцензія на використання дійсна протягом 30 днів або до дати настроюваного терміну дії (залежно від того, що відбудеться раніше). Протягом цього періоду користувач не реавтентифікований або не авторизований для доступу до файлу за допомогою того самого пристрою. Це означає, що навіть якщо дозвіл користувача на файл змінено або видалено, він усе одно зможе отримати доступ до файлу, доки не завершиться термін дії ліцензії на раніше надане використання.
Щоб вимагати підтвердження дозволу користувача на перевірку файлу під час кожного його відкриття, у діалоговому вікні Дозволи в розділі Додаткові параметри виберіть обов'язкове підключення.
Обмеження доступу до вмісту файлів
Діалогове вікно настроюваних дозволів відкриється, коли застосовується підпис конфіденційності, який вимагає спеціальних дозволів.
Щоб застосувати спеціальні дозволи без підпису конфіденційності, виберіть Файл > Обмежити дозволи > Обмежений доступ...
Примітка.: Якщо в організації активовано мітки конфіденційності, потрібно буде вибрати мітку конфіденційності, щоб обмежити дозволи.
Щоб застосувати обмеження на основі кожного користувача, введіть ім'я або адресу електронної пошти, щоб виконати пошук, і виберіть користувача.
Щоб застосувати обмеження для кожної групи, введіть @ і домен.
Важливі зауваження щодо надання дозволів за доменом
Якщо ви вкажете домен для надання дозволів, ви надаєте ці дозволи всім обліковим записам у цій організації.
Це означає, що якщо організація має інші імена доменів у своїх Microsoft Entra ID, ці дозволи також поширюються на цих користувачів. Наприклад, якщо tailwind Toys також володіє доменом contosogames.com у своїй Microsoft Entra ID тоді всі користувачі contosogames.com також отримають дозволи, надані tailwindtoys.com користувачам.
Це також стосується дочірніх доменів. Надання дозволів sales.tailwindtoys.com також надає ці дозволи всім іншим обліковим записам у tailwindtoys.com, а також будь-яким іншим доменам, які вони можуть мати на своїх Microsoft Entra ID.
Визначення користувачів, які можуть виконувати дії з файлом
Рівні дозволів – це попередньо визначені групи прав на використання, які надають користувачам різні дозволи у файлі. У M365 для Mac доступні три рівні дозволів:
-
Читання. Користувач може переглядати, але не може редагувати, друкувати, копіювати вміст або змінювати й видаляти захист.
-
Зміна. Користувач може переглядати, редагувати та копіювати вміст, але не може друкувати або змінювати або видаляти захист.
-
Повний доступ. Користувач має повний контроль над документом, зокрема можливість змінювати або видаляти захист.
Настроювання додаткових параметрів
За потреби можна вказати додаткові параметри під час застосування спеціальних дозволів.
Можна вказати дату завершення терміну дії дозволів.
-
У розділі Додаткові параметри діалогового вікна Установлення дозволів установіть прапорець Термін дії цього документа завершується.
-
Скористайтеся засобом вибору дати, щоб вибрати дату завершення терміну дії. Зверніть увагу, що вибрана дата має бути в майбутньому.
Ви можете надати користувачам із дозволами "Читання" або "Змінити" можливість друку вмісту.
У розділі Додаткові параметри діалогового вікна Установлення дозволів виберіть дозволити друкувати вміст користувачам із дозволами на змінення або читання.
Ви можете надати користувачам із дозволом на читання можливість копіювати вміст.
У розділі Додаткові параметри діалогового вікна Установлення дозволів виберіть дозволити користувачам, які мають дозвіл на читання, копіювати вміст.
За замовчуванням доступ до вмісту файлу, захищеного настроюваними дозволами, можна отримати програмним способом. Щоб заборонити програмний доступ до вмісту файлу, зніміть прапорець Доступ до вмісту програмно в розділі Додаткові параметри діалогового вікна Установлення дозволів.
Коли користувач вперше відкриває файл із обмеженими дозволами в M365 для Windows або Mac, користувачу сервера ліцензування надається ліцензія на використання файлу. Ліцензія на використання – це сертифікат, який містить права на використання файлу, а також ключ шифрування, який використовується для шифрування файлу. Після надання ліцензія на використання дійсна протягом 30 днів або до дати настроюваного терміну дії (залежно від того, що відбудеться раніше). Протягом цього періоду користувач не реавтентифікований або не авторизований для доступу до файлу за допомогою того самого пристрою. Це означає, що навіть якщо дозвіл користувача на файл змінено або видалено, він усе одно зможе отримати доступ до файлу, доки не завершиться термін дії ліцензії на раніше надане використання.
Щоб вимагати підтвердження дозволу користувача на перевірку файлу під час кожного його відкриття, установіть прапорець "Вимагати підключення для перевірки дозволів" у розділі "Додаткові параметри" діалогового вікна "Установлення дозволів".
Обмеження доступу до вмісту файлів
Діалогове вікно настроюваних дозволів відкриється, коли застосовується підпис конфіденційності, який вимагає спеціальних дозволів.
Щоб застосувати обмеження на основі кожного користувача, введіть ім'я або адресу електронної пошти, щоб знайти та вибрати користувача.
Щоб застосувати обмеження для кожної групи, введіть @ і домен.
Важливі зауваження щодо надання дозволів за доменом
Якщо ви вкажете домен для надання дозволів, ви надаєте ці дозволи всім обліковим записам у цій організації.
Це означає, що якщо організація має інші імена доменів у своїх Microsoft Entra ID, ці дозволи також поширюються на цих користувачів. Наприклад, якщо tailwind Toys також володіє доменом contosogames.com у своїй Microsoft Entra ID тоді всі користувачі contosogames.com також отримають дозволи, надані tailwindtoys.com користувачам.
Це також стосується дочірніх доменів. Надання дозволів sales.tailwindtoys.com також надає ці дозволи всім іншим обліковим записам у tailwindtoys.com, а також будь-яким іншим доменам, які вони можуть мати на своїх Microsoft Entra ID.
Визначення користувачів, які можуть виконувати дії з файлом
Рівні дозволів – це попередньо визначені групи прав на використання, які надають користувачам різні дозволи у файлі. У M365 для Windows доступні чотири рівні дозволів:
-
Засіб перегляду. Користувач може переглядати, але не може редагувати, друкувати, копіювати вміст або змінювати й видаляти захист.
-
Обмежений редактор. Користувач може переглядати та редагувати, але не може друкувати, копіювати вміст або змінювати й видаляти захист.
-
Редактор. Користувач може переглядати, редагувати, друкувати та копіювати вміст, але не може змінювати або видаляти захист.
-
Власник. Користувач має повний контроль над файлом, зокрема можливість змінювати або видаляти захист.
Настроювання додаткових параметрів
За потреби можна вказати додаткові параметри під час застосування спеціальних дозволів.
Коли користувач відкриває файл, на який у нього немає повних дозволів, йому пропонується звернутися до власника файлу з проханням надати додаткові дозволи. За замовчуванням основний власник файлу – це контакт для цього запиту. Ви можете визначити іншу точку контакту для запиту додаткових дозволів.
Примітка.: Користувачі можуть змінювати дозволи на доступ до файлу, лише якщо вони є власником
За замовчуванням доступ до вмісту файлу, захищеного за допомогою користувацьких дозволів, не можна отримати програмно. Щоб дозволити програмний доступ до вмісту файлу, у діалоговому вікні Дозволи в розділі Додаткові параметри виберіть access content programmatically (Доступ до вмісту).
Коли користувач вперше відкриває файл із обмеженими дозволами в M365 для Windows або Mac, користувачу сервера ліцензування надається ліцензія на використання файлу. Ліцензія на використання – це сертифікат, який містить права на використання файлу, а також ключ шифрування, який використовується для шифрування файлу. Після надання ліцензія на використання дійсна протягом 30 днів або до дати настроюваного терміну дії (залежно від того, що відбудеться раніше). Протягом цього періоду користувач не реавтентифікований або не авторизований для доступу до файлу за допомогою того самого пристрою. Це означає, що навіть якщо дозвіл користувача на файл змінено або видалено, він усе одно зможе отримати доступ до файлу, доки не завершиться термін дії ліцензії на раніше надане використання.
Щоб вимагати підтвердження дозволу користувача на перевірку файлу під час кожного його відкриття, у діалоговому вікні Дозволи в розділі Додаткові параметри виберіть обов'язкове підключення.
Функції засобу IRM
Керування правами доступу до інформації (IRM) допомагає виконати такі дії:
-
Заборона авторизованому користувачу редагування, копіювання або друк обмеженого вмісту
-
Захист вмісту, куди б він не надсилався, і застосовувати організаційні політики, які регулюють використання та спільний доступ до вмісту в організації
-
Надання терміну дії файлу, щоб вміст у файлі більше не можна було переглянути через вказаний час
-
Заборонити програмний доступ до вмісту файлу
Функція IRM не може заборонити використання обмеженого вмісту:
-
Скопійовано за допомогою стороннього програмного забезпечення для захоплення екрана
-
Цифрове фотографування, копіювання від руки або повторне введення авторизованим користувачем
-
Видалено або пошкоджено зловмисним програмним забезпеченням
