Quản trị Quyền Thông tin (IRM) giúp bạn ngăn chặn việc người dùng trái phép sử dụng thông tin nhạy cảm không đúng cách. Tính năng quyền tùy chỉnh cho phép bạn chọn ai có thể xem, chỉnh sửa hoặc kiểm soát hoàn toàn tệp. Nếu tổ chức của bạn đã bật nhãn nhạy cảm, việc xác định quyền tùy chỉnh có thể được yêu cầu khi áp dụng một số nhãn nhạy cảm nhất định.
Lưu ý:
-
Quyền IRM khác với quyền SharePoint. Khi áp dụng quyền tùy chỉnh cho tệp được lưu trữ trong SharePoint, hãy đảm bảo rằng người dùng mà bạn gán quyền IRM cũng có quyền truy nhập vào tệp SharePoint. Để tìm hiểu thêm về các quyền của SharePoint, hãy xem mục Chia sẻ tệp hoặc thư mục SharePoint
Xem nội dung với quyền tùy chỉnh
Để xem nội dung có quyền tùy chỉnh, chỉ cần mở tài liệu trong ứng dụng M365 liên quan.
Lần đầu tiên bạn tìm cách mở một tài liệu với quyền hạn chế, bạn phải kết nối với một máy chủ cấp phép để xác minh thông tin xác thực của bạn và lấy giấy phép sử dụng. Giấy phép sử dụng xác định mức truy nhập vào một tệp của bạn. Quy trình này là bắt buộc đối với từng tệp có quyền hạn chế. Nếu không được ủy quyền để xem tệp, bạn sẽ nhận được lỗi từ chối truy nhập khi cố gắng mở tệp.
Áp dụng quyền tùy chỉnh
Hiện tại, việc áp dụng các quyền tùy chỉnh được hỗ trợ trên Microsoft 365 for Windows, máy Mac và web. Bạn vẫn có thể xem nội dung với quyền tùy chỉnh trên nền tảng di động, nhưng bạn không thể xem hoặc sửa đổi các quyền.
Hạn chế cấp phép đối với nội dung trong tệp
Hộp thoại quyền tùy chỉnh sẽ mở ra khi nhãn nhạy cảm yêu cầu quyền tùy chỉnh được áp dụng.
Để áp dụng các quyền tùy chỉnh mà không có nhãn nhạy cảm, hãy chọn Thông tin tệp > để > bảo vệ tài > hạn chế truy > truy nhập bị hạn chế.
Lưu ý: Nếu tổ chức của bạn đã bật nhãn nhạy cảm, bạn sẽ được yêu cầu chọn nhãn nhạy cảm để hạn chế cấp phép.
Để áp dụng hạn chế trên cơ sở từng người dùng, hãy nhập tên hoặc địa chỉ email để tìm kiếm và chọn người dùng đó.
Để áp dụng các hạn chế trên cơ sở mỗi nhóm, hãy nhập @ tiếp theo là tên miền.
Những điều cần cân nhắc quan trọng khi cấp quyền theo miền
Nếu bạn chỉ định một tên miền để cấp quyền, bạn sẽ cấp các quyền đó cho tất cả các tài khoản trong tổ chức đó.
Điều đó có nghĩa là nếu tổ chức đó có các tên miền khác trong danh sách Microsoft Entra ID, các quyền này cũng sẽ mở rộng đến những người dùng đó. Ví dụ: nếu Tailwind Toys cũng sở hữu miền contosogames.com trong Microsoft Entra ID thì tất cả người dùng contosogames.com cũng sẽ có được quyền cấp cho người dùng tailwindtoys.com.
Điều này cũng đúng đối với tên miền con. Việc cấp quyền cho sales.tailwindtoys.com cũng cấp các quyền đó cho tất cả các tài khoản khác trong tailwindtoys.com, cũng như bất kỳ tên miền nào khác mà họ có thể có trong tài khoản Microsoft Entra ID.
Xác định những người có thể làm gì với tệp
Mức cấp phép là các nhóm quyền sử dụng được xác định trước cung cấp cho người dùng các quyền khác nhau trong tệp. Bốn mức cấp phép sẵn dùng trong M365 cho Windows là:
-
Người xem: Người dùng có thể xem nhưng họ không thể chỉnh sửa, in, sao chép nội dung hoặc thay đổi/loại bỏ bảo vệ.
-
Trình soạn thảo Bị hạn chế: Người dùng có thể xem và chỉnh sửa nhưng không thể in, sao chép nội dung hoặc thay đổi/loại bỏ bảo vệ.
-
Trình soạn thảo: Người dùng có thể xem, chỉnh sửa, in và sao chép nội dung nhưng họ không thể thay đổi/loại bỏ bảo vệ.
-
Chủ sở hữu: Người dùng có toàn quyền kiểm soát đối với tệp, bao gồm khả năng thay đổi/loại bỏ bảo vệ.
Đặt thêm tùy chọn
Bạn có thể tùy chọn chỉ định các thiết đặt bổ sung khi áp dụng các quyền tùy chỉnh.
Bạn có thể chỉ định ngày mà quyền mà bạn đang cấp sẽ hết hạn.
-
Trong mục Tùy chọn Khác của hộp thoại Quyền, chọn hộp kiểm 'Tài liệu này hết hạn vào'.
-
Sử dụng bộ chọn ngày để chọn ngày hết hạn. Lưu ý rằng ngày được chọn phải là trong tương lai.
Khi người dùng mở tệp mà họ không có toàn quyền, họ sẽ được cung cấp tùy chọn liên hệ với chủ sở hữu tệp để yêu cầu quyền bổ sung. Theo mặc định, chủ sở hữu chính của tệp là liên hệ cho yêu cầu này. Bạn có thể chọn xác định một điểm liên hệ khác để yêu cầu các quyền bổ sung.
Lưu ý: Người dùng chỉ có thể thay đổi quyền trên tệp nếu họ là Chủ sở hữu
Theo mặc định, không thể truy nhập theo chương trình nội dung tệp được bảo vệ bằng quyền do người dùng xác định. Để cho phép truy nhập theo chương trình đối với nội dung tệp, hãy chọn Truy nhập nội dung theo chương trình trong phần Xem thêm Tùy chọn của hộp thoại Quyền.
Lần đầu tiên người dùng mở tệp với quyền hạn chế trong M365 for Windows hoặc Mac, giấy phép sử dụng cho tệp được máy chủ cấp phép cho người dùng. Giấy phép sử dụng là chứng chỉ chứa quyền sử dụng của người dùng đối với tệp cũng như khóa mã hóa được sử dụng để mã hóa tệp. Sau khi được cấp, giấy phép sử dụng hợp lệ trong vòng 30 ngày hoặc cho đến ngày hết hạn tùy chỉnh, tùy trường hợp nào xảy ra trước. Trong thời gian này, người dùng sẽ không được xác thực lại hoặc thao tác lại để truy nhập tệp bằng cách sử dụng cùng một thiết bị. Điều này có nghĩa là ngay cả khi quyền của người dùng đối với tệp bị thay đổi hoặc loại bỏ, họ vẫn sẽ có thể truy nhập tệp cho đến khi giấy phép sử dụng được cấp trước đó hết hạn.
Để yêu cầu quyền của người dùng đối với tệp để được xác minh mỗi lần họ mở tệp, hãy chọn Yêu cầu kết nối để xác minh quyền của người dùng trong phần Tùy chọn Khác của hộp thoại Quyền.
Hạn chế cấp phép đối với nội dung trong tệp
Hộp thoại quyền tùy chỉnh sẽ mở ra khi nhãn nhạy cảm yêu cầu quyền tùy chỉnh được áp dụng.
Để áp dụng các quyền tùy chỉnh mà không có nhãn nhạy cảm, hãy chọn Tệp >hạn chế Quyền >Truy nhập Hạn chế...
Lưu ý: Nếu tổ chức của bạn đã bật nhãn nhạy cảm, bạn sẽ được yêu cầu chọn nhãn nhạy cảm để hạn chế cấp phép.
Để áp dụng hạn chế trên cơ sở từng người dùng, hãy nhập tên hoặc địa chỉ email để tìm kiếm và chọn người dùng đó.
Để áp dụng các hạn chế trên cơ sở mỗi nhóm, hãy nhập @ tiếp theo là tên miền.
Những điều cần cân nhắc quan trọng khi cấp quyền theo miền
Nếu bạn chỉ định một tên miền để cấp quyền, bạn sẽ cấp các quyền đó cho tất cả các tài khoản trong tổ chức đó.
Điều đó có nghĩa là nếu tổ chức đó có các tên miền khác trong danh sách Microsoft Entra ID, các quyền này cũng sẽ mở rộng đến những người dùng đó. Ví dụ: nếu Tailwind Toys cũng sở hữu miền contosogames.com trong Microsoft Entra ID thì tất cả người dùng contosogames.com cũng sẽ có được quyền cấp cho người dùng tailwindtoys.com.
Điều này cũng đúng đối với tên miền con. Việc cấp quyền cho sales.tailwindtoys.com cũng cấp các quyền đó cho tất cả các tài khoản khác trong tailwindtoys.com, cũng như bất kỳ tên miền nào khác mà họ có thể có trong tài khoản Microsoft Entra ID.
Xác định những người có thể làm gì với tệp
Mức cấp phép là các nhóm quyền sử dụng được xác định trước cung cấp cho người dùng các quyền khác nhau trong tệp. Ba mức cấp phép sẵn dùng trong M365 for Mac là:
-
Đọc: Người dùng có thể xem nhưng họ không thể chỉnh sửa, in, sao chép nội dung hoặc thay đổi/loại bỏ bảo vệ.
-
Thay đổi: Người dùng có thể xem, sửa và sao chép nội dung, nhưng họ không thể in hoặc thay đổi/loại bỏ bảo vệ.
-
Toàn quyền Kiểm soát: Người dùng có toàn quyền kiểm soát đối với tài liệu, bao gồm khả năng thay đổi/loại bỏ bảo vệ.
Đặt thêm tùy chọn
Bạn có thể tùy chọn chỉ định các thiết đặt bổ sung khi áp dụng các quyền tùy chỉnh.
Bạn có thể chỉ định ngày mà quyền mà bạn đang cấp sẽ hết hạn.
-
Trong phần Xem thêm Tùy chọn của hộp thoại Đặt Quyền, chọn hộp kiểm Tài liệu này hết hạn trên'.
-
Sử dụng bộ chọn ngày để chọn ngày hết hạn. Lưu ý rằng ngày được chọn phải là trong tương lai.
Bạn có thể cấp cho người dùng quyền Đọchoặc Thay đổi khả năng in nội dung.
Trong mục Tùy chọn Khác của hộp thoại Đặt Quyền, chọn Cho phép những người có quyền Thay đổi hoặc Đọc in nội dung.
Bạn có thể cấp cho người dùng quyền Đọc để có thể sao chép nội dung.
Trong mục Tùy chọn Khác của hộp thoại Đặt Quyền, chọn Cho phép những người có quyền Đọc sao chép nội dung.
Theo mặc định, nội dung tệp được bảo vệ bằng quyền tùy chỉnh có thể được truy nhập theo chương trình. Để không cho phép truy nhập nội dung tệp theo chương trình, hãy bỏ chọn nội dung Access theo chương trình trong phần Tùy chọn Khác của hộp thoại Đặt Quyền.
Lần đầu tiên người dùng mở tệp với quyền hạn chế trong M365 for Windows hoặc Mac, giấy phép sử dụng cho tệp được máy chủ cấp phép cho người dùng. Giấy phép sử dụng là chứng chỉ chứa quyền sử dụng của người dùng đối với tệp cũng như khóa mã hóa được sử dụng để mã hóa tệp. Sau khi được cấp, giấy phép sử dụng hợp lệ trong vòng 30 ngày hoặc cho đến ngày hết hạn tùy chỉnh, tùy trường hợp nào xảy ra trước. Trong thời gian này, người dùng sẽ không được xác thực lại hoặc thao tác lại để truy nhập tệp bằng cách sử dụng cùng một thiết bị. Điều này có nghĩa là ngay cả khi quyền của người dùng đối với tệp bị thay đổi hoặc loại bỏ, họ vẫn sẽ có thể truy nhập tệp cho đến khi giấy phép sử dụng được cấp trước đó hết hạn.
Để yêu cầu quyền của người dùng đối với tệp để được xác minh mỗi lần mở tệp, hãy chọn hộp kiểm 'Yêu cầu kết nối để xác minh quyền' trong mục Tùy chọn Khác của hộp thoại Đặt Quyền.
Hạn chế cấp phép đối với nội dung trong tệp
Hộp thoại quyền tùy chỉnh sẽ mở ra khi nhãn nhạy cảm yêu cầu quyền tùy chỉnh được áp dụng.
Để áp dụng hạn chế trên cơ sở từng người dùng, hãy nhập tên hoặc địa chỉ email để tìm kiếm và chọn người dùng đó.
Để áp dụng các hạn chế trên cơ sở mỗi nhóm, hãy nhập @ tiếp theo là tên miền.
Những điều cần cân nhắc quan trọng khi cấp quyền theo miền
Nếu bạn chỉ định một tên miền để cấp quyền, bạn sẽ cấp các quyền đó cho tất cả các tài khoản trong tổ chức đó.
Điều đó có nghĩa là nếu tổ chức đó có các tên miền khác trong danh sách Microsoft Entra ID, các quyền này cũng sẽ mở rộng đến những người dùng đó. Ví dụ: nếu Tailwind Toys cũng sở hữu miền contosogames.com trong Microsoft Entra ID thì tất cả người dùng contosogames.com cũng sẽ có được quyền cấp cho người dùng tailwindtoys.com.
Điều này cũng đúng đối với tên miền con. Việc cấp quyền cho sales.tailwindtoys.com cũng cấp các quyền đó cho tất cả các tài khoản khác trong tailwindtoys.com, cũng như bất kỳ tên miền nào khác mà họ có thể có trong tài khoản Microsoft Entra ID.
Xác định những người có thể làm gì với tệp
Mức cấp phép là các nhóm quyền sử dụng được xác định trước cung cấp cho người dùng các quyền khác nhau trong tệp. Bốn mức cấp phép sẵn dùng trong M365 cho Windows là:
-
Người xem: Người dùng có thể xem nhưng họ không thể chỉnh sửa, in, sao chép nội dung hoặc thay đổi/loại bỏ bảo vệ.
-
Trình soạn thảo Bị hạn chế: Người dùng có thể xem và chỉnh sửa nhưng không thể in, sao chép nội dung hoặc thay đổi/loại bỏ bảo vệ.
-
Trình soạn thảo: Người dùng có thể xem, chỉnh sửa, in và sao chép nội dung nhưng họ không thể thay đổi/loại bỏ bảo vệ.
-
Chủ sở hữu: Người dùng có toàn quyền kiểm soát đối với tệp, bao gồm khả năng thay đổi/loại bỏ bảo vệ.
Đặt thêm tùy chọn
Bạn có thể tùy chọn chỉ định các thiết đặt bổ sung khi áp dụng các quyền tùy chỉnh.
Khi người dùng mở tệp mà họ không có toàn quyền, họ sẽ được cung cấp tùy chọn liên hệ với chủ sở hữu tệp để yêu cầu quyền bổ sung. Theo mặc định, chủ sở hữu chính của tệp là liên hệ cho yêu cầu này. Bạn có thể chọn xác định một điểm liên hệ khác để yêu cầu các quyền bổ sung.
Lưu ý: Người dùng chỉ có thể thay đổi quyền trên tệp nếu họ là Chủ sở hữu
Theo mặc định, không thể truy nhập theo chương trình nội dung tệp được bảo vệ bằng quyền do người dùng xác định. Để cho phép truy nhập theo chương trình đối với nội dung tệp, hãy chọn Truy nhập nội dung theo chương trình trong phần Xem thêm Tùy chọn của hộp thoại Quyền.
Lần đầu tiên người dùng mở tệp với quyền hạn chế trong M365 for Windows hoặc Mac, giấy phép sử dụng cho tệp được máy chủ cấp phép cho người dùng. Giấy phép sử dụng là chứng chỉ chứa quyền sử dụng của người dùng đối với tệp cũng như khóa mã hóa được sử dụng để mã hóa tệp. Sau khi được cấp, giấy phép sử dụng hợp lệ trong vòng 30 ngày hoặc cho đến ngày hết hạn tùy chỉnh, tùy trường hợp nào xảy ra trước. Trong thời gian này, người dùng sẽ không được xác thực lại hoặc thao tác lại để truy nhập tệp bằng cách sử dụng cùng một thiết bị. Điều này có nghĩa là ngay cả khi quyền của người dùng đối với tệp bị thay đổi hoặc loại bỏ, họ vẫn sẽ có thể truy nhập tệp cho đến khi giấy phép sử dụng được cấp trước đó hết hạn.
Để yêu cầu quyền của người dùng đối với tệp để được xác minh mỗi lần họ mở tệp, hãy chọn Yêu cầu kết nối để xác minh quyền của người dùng trong phần Tùy chọn Khác của hộp thoại Quyền.
Công việc của IRM
Quản trị Quyền Thông tin (IRM) giúp thực hiện các thao tác sau:
-
Ngăn người dùng được phép sửa, sao chép hoặc in nội dung bị hạn chế
-
Bảo vệ nội dung ở bất cứ nơi nào được gửi và thực thi các chính sách của tổ chức chi phối việc sử dụng và chia sẻ nội dung trong tổ chức
-
Cung cấp thời gian hết hạn tệp để không còn xem được nội dung trong tệp sau một khoảng thời gian được chỉ định
-
Ngăn chặn truy nhập theo chương trình vào nội dung tệp
IRM không thể ngăn nội dung bị hạn chế là:
-
Đã sao chép bằng cách sử dụng phần mềm chụp lại màn hình của bên thứ ba
-
Ảnh kỹ thuật số, sao chép tay hoặc nhập lại bởi người dùng được ủy quyền
-
Phần mềm có hại đã xóa hoặc hỏng
